[发明专利]防DoS/DDoS攻击的装置和方法

说明书

本发明提供一种防DoS/DDoS攻击的装置和方法，该装置包括：消息分发模块、消息队列处理模块和消息调度分发模块；消息分发模块用于接收用户终端发送的API业务请求消息；识别发送API业务请求消息的用户终端的ID和API业务请求消息的消息类型；消息队列处理模块用于根据用户终端的ID和消息类型确定目标消息队列，并将API业务请求消息添加到目标消息队列；消息调度分发模块用于在目标消息队列间进行API业务请求消息的调度，将所调度的API业务请求消息发送给API业务处理模块处理。本发明提供的防DoS/DDoS攻击的装置和方法，可以为用户终端提供公平的服务的能力，防止系统受到DoS/DDoS攻击时的崩溃。

技术领域

本发明涉及通信技术领域，尤其涉及一种防DoS/DDoS攻击的装置和方法。

背景技术

云计算对外提供服务时，是以提供服务应用程序编程接口(ApplicationProgramming Interface，简称API)的方式呈现的，各种应用可以通过调用云计算的服务API，实现对云计算资源的调度、管理和使用。由于云计算服务API是直接暴露在互联网上的，做好服务API的安全性保护，是云计算业务正常开展的基本保障。API的安全保护，主要是两个方面，一个是做好认证与授权，防护被非法使用；另一个是做好防拒绝服务(Denialof Service，简称DoS)、分布式拒绝服务(Distributed Denial of Service，简称DDoS)攻击，避免系统无法及时接收并处理API业务消息请求，导致API接口不可用。

目前，对DoS/DDoS防护通常是在防火墙上配置策略，比如限制某个网络之间互连的协议(Internet Protocol，简称IP)的报文频率等。然而，采用目前在防火墙上配置策略具体到云计算服务API时，由于API业务复杂，且数量众多，在防火墙上无法通过简单的配置实现对API的有效防护。

发明内容

本发明提供一种防DoS/DDoS攻击的装置和方法，可以为用户终端提供公平的服务的能力，避免某一个用户终端连续发起的多次恶意请求，防止系统受到DoS/DDoS攻击时的崩溃。

第一方面，本发明提供一种防DoS/DDoS攻击的装置，包括：消息分发模块、消息队列处理模块和消息调度分发模块；消息分发模块用于接收用户终端发送的API业务请求消息；识别发送API业务请求消息的用户终端的ID和API业务请求消息的消息类型；消息队列处理模块用于根据用户终端的ID和消息类型确定目标消息队列，并将API业务请求消息添加到目标消息队列；消息调度分发模块用于根据API业务处理模块的负载状态，确定一个控制周期内允许通过的业务量；根据业务量在目标消息队列间进行API业务请求消息的调度，将所调度的API业务请求消息发送给对应的API业务处理模块处理。通过基于用户终端的ID和API业务请求消息的消息类型建立消息队列，将API业务请求消息中的业务API放到对应目标消息队列，根据API业务处理模块的负载状态，动态的调整系统能够处理的业务量，并在不同的用户终端间公平的调度，为用户终端提供公平的服务的能力，避免某一个用户终端连续发起的多次恶意请求，可以防止系统受到DoS/DDoS攻击时的崩溃。

结合第一方面，在第一方面的第一种实现方式中，消息队列处理模块具体用于：根据消息类型判断API业务请求消息是否是API业务处理流程的首消息；若API业务请求消息是API业务处理流程的首消息，则将API业务请求消息添加到对与用户终端的ID对应的消息队列；若API业务请求消息是API业务处理流程的中间消息，则将API业务请求消息添加到公共消息队列。通过根据API业务请求消息是否是API业务处理流程的首消息还是中间消息，来确定将API业务请求消息分发到用户终端的ID对应的消息队列还是高优先级的公共消息队列实现建立，实现对接收的API业务请求消息的分发处理，在不同的用户终端间公平的调度API业务请求消息，避免某一个用户终端连续发起的多次恶意请求，可以防止系统受到DoS/DDoS攻击时的崩溃。